medikopter
Goto Top

VPN-Server-Gateway in einem Rechenzentrum

Hallo zusammen,

in der Hoffnung hier nicht die Freitags frage los zu treten, würde ich gerne nach ein paar Tips fragen.

Ich würde gerne 2 Standorte miteinander Verbinden, allerdings gerne über ein VPN-Gateway beispielsweise in der Hetzner Cloud.

So das sich Mitarbeiter die im HomeOffice Arbeiten darüber einloggen können und je nachdem wo sie hinwollen von dem Gateway geroutet werden.

Die Anbindung der beiden Standorte ist jetzt nicht besonders Prickelnd so das ich die User nicht direkt mit einem Standort verbinden wollen würde.

Manche benötigen auch nur diese IP Adresse um auf anderen Systemen arbeiten zu können. Bei denen kann ich die Bandbreite an den Standorten dadurch sparen.

Zur Infrastruktur:
Standort A hat eine 175k down und 40k up Leitung, hier steht eine Pfsense.
Standort B hat eine 50k down und 10k up Leitung, hier steht eine Fritzbox.

Standort B ist der Standort wo die meisten Server stehen.

Es ist nicht oder nur schwer möglich die Server nach Standort A zu bringen, das kann ausgeschlossen werden.

Nun zu meiner Frage:

Habt Ihr eine Idee wie ich das am besten umsetzten kann?
Gerne auch Stichpunkte wonach ich Google kann.

Vielen Dank und liebe Grüße

Content-Key: 544579

Url: https://administrator.de/contentid/544579

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 07.02.2020 aktualisiert um 12:17:27 Uhr
Goto Top
Hallo medikopter,

175 und 50k sind für dich gering? Wie viele User habt Ihr? Oder liegt es an einer Fehlkonfiguration der VPN? Oder zu viele Daten?

Erster Rat: Lass eine weitere Leitung legen. An manchen Kundenstandorten würde ich mir "nur" 50k wünschen. Auf der anderen Seite: Ein Durchrouten bringt im Grunde nichts, da der Traffic dadurch nicht weniger wird. Außer, du baust ein komplett eigenes, drittes Netz bei Hetzner auf.

Ungeachtet dessen solltest du die Fritzbox ersetzen.

Viele Grüße,

Christian
certifiedit.net | IT-Partner
Mitglied: BirdyB
BirdyB 07.02.2020 um 12:22:40 Uhr
Goto Top
Moin,
du müsstest dann also ein Site2-Site VPN zwischen Standort A und Hetzner, sowie Standort B und Hetzner einrichten.
Und dann noch auf dem Hetzner-Server ein Road-Warrior-VPN.
Dazu kommt dann noch etwas Routing und Firewall-Regeln und fertig ist der Lack face-wink
Ich betreibe so ein Setup mit OpenVPN, es geht aber auch alles Andere... (IPSec, etc)

Viele Grüße
Mitglied: medikopter
medikopter 07.02.2020 um 12:46:03 Uhr
Goto Top
Zitat von @falscher-sperrstatus:
175 und 50k sind für dich gering? Wie viele User habt Ihr? Oder liegt es an einer Fehlkonfiguration der VPN? Oder zu viele Daten?
Ungeachtet dessen solltest du die Fritzbox ersetzen.

Eher eine zu instabile Leitung. Wir hatten hier bei A eine 500k von Vodafone und die ist sehr sehr sehr instabil gewesen. Sind jetzt beim roten T und hoffen auf eine Stabilere Leitung.
Geplant ist die Fritzbox im zuge einer größeren Umstrukturierung ebenfalls durch eine Pfsense zu ersetzen. Ich bin schon froh eine Fritze zu haben - vorher war es ein Speedport Hybrid ....

Zitat von @BirdyB:
du müsstest dann also ein Site2-Site VPN zwischen Standort A und Hetzner, sowie Standort B und Hetzner einrichten.
Und dann noch auf dem Hetzner-Server ein Road-Warrior-VPN.

Genau an sowas habe ich gedacht, mir fehlt noch irgendwie eine Software womit ich dieses Road-Warrior-VPN umsetzten kann.
Habe eben versucht eine Pfsense in der Cloud zu installieren das grandios daran gescheitert das ich ja kein zweites Netzwerkinterface habe. Habe versucht den Schritt zu überspringen und erst den VPN Server zu installieren - hat nicht geklappt. Maschine ist so was von abgestürzt, konnte sie nicht mal über das Webinterface der Cloud zurücksetzten bzw. ausschalten. Musste dort den Support bemühen.
Mitglied: BirdyB
BirdyB 07.02.2020 um 13:20:19 Uhr
Goto Top
Wie gesagt, ich mache auch das mit OpenVPN. Läuft bei mir einwandfrei und mit allen Arten von Clients. Als Endpunkt verwende ich eine opnSense.
Mitglied: LordGurke
LordGurke 07.02.2020 um 15:36:18 Uhr
Goto Top
Zitat von @falscher-sperrstatus:
175 und 50k sind für dich gering? Wie viele User habt Ihr? Oder liegt es an einer Fehlkonfiguration der VPN? Oder zu viele Daten?

OT: Ich halte 175k und 50k für sehr langsam, aber das liegt vielleicht auch daran, dass ich das als einhundertfünfundsiebzig Kilobit interpretiere.
Aber möglicherweise interpretieren du und der OT das als 175 Mbit/s - also 175M face-wink
Mitglied: falscher-sperrstatus
falscher-sperrstatus 07.02.2020 um 15:45:47 Uhr
Goto Top
Ich interpretiere es (fehleradaptiv mittlerweile Spar ich mir den Kommentar) als 175000kbit/s - mit 175kbit/s würde ich einfach nur ans vergessen der Idee denken.
Mitglied: aqui
aqui 07.02.2020 aktualisiert um 16:32:22 Uhr
Goto Top
Ich kann mir auch nicht wirklich vorstellen das der TO da 50kBit/s oder 175kBit/s meint. Das wäre ja noch unter Bauern DSL und sollte es in D eigentlich gar nicht mehr so geben...
Das sollte er wohl besser nochmal genau klären wie das gemeint ist um hier eine sinnvolle Empfehlung zu geben.
Wenn die Bandbreiten dann doch eher im Mbit/s Bereich liegen wäre es wohl das sinnvollste die pfSense als zentrale VPN Client Dialin Instanz zu nehmen wie es z.B. HIER beschrieben ist.
Da sie ja so oder so einen festen Site to Site Tunnel zur 2ten Lokation hat routet sie eben den Traffic.
Mitglied: tikayevent
Lösung tikayevent 07.02.2020 aktualisiert um 20:53:54 Uhr
Goto Top
Wenn man die Wertepaare betrachtet, sind das Mbit und nicht kbit. Ist die Telekomtypische VDSL-Staffelung.

Bevor man aber irgendwas komisches zusammenbastelt, weil man der Meinung ist, dass man damit irgendwas umschiffen kann, wäre es in jedem Fall besser, einfach mal dem Problem auf den Grund zu gehen. Es ist nicht unbedingt benutzerfreundlich, wenn man Verbindungsabrisse einfach nur an eine andere Stelle verlagert.

Jetzt ist einfach mal die klare Frage: Wie definierst du instabil? Erreicht die Verbindung nicht die maximale Bandbreite oder verliert der Anschluss die Synchronität?

Bei der Telekom wird sehr viel mit Broadcom-Technik gearbeitet und alle aktuellen Telekom-Router werden daher auf einem Broadcom-Chipsatz aufgebaut. Eine Fritzbox und ein Draytek nutzen Lantiq als DSL-Modem-Chipsatz. Funktioniert, aber nicht schön. Daher habe ich noch ein paar Speedport Entry 2, die als reines Modem genutzt werden können, um eingreifen zu können. Ich habe Anschlüsse, die mit einem Lantiq-Modem fast unbenutzbar sind, aber mit dem Speedport Entry 2 rennen wie Sau. Ebenso können es Verdrahtungsfehler sein.

Und besser als eine Fritzbox als VPN-Router wäre ein Router ohne VPN-Funktion. Netgear konnte schon vor 10 Jahren mehr durchs Durchsatz unbeschleunigt VPN drücken, als viele der AVM-Geräte heute.

Lass den Kram mit dem Hetzner-Server sein, dass wird keinen Spaß machen und keinen Mehrwert bringen. Du musst dann regelmäßig prüfen, ob die Kiste aktuell ist, eigentlich täglich, diese aktualisieren und produzierst dann natürlich immer wieder Ausfälle. Vorher muss die Kiste natürlich entsprechend abgesichert werden und man muss die Kiste blind bedienen können, egal wie müde oder besoffen man ist. Es ist dann ein Teil der kritischen Infrastruktur.
Ich weiß, wovon ich rede, ich hab einen VPN-Knoten im RZ stehen, aber mit spezialisierter Hardware und mit einem ganz anderen Drehmoment und Kostenaufwand, als ein Massenhoster-Mietserver.
Mitglied: medikopter
medikopter 12.02.2020 um 13:56:50 Uhr
Goto Top
Vielen Dank für die Tipps.

Ich habe es erstmal so gelöst das ich mittels Fritzbox und Pfsense ein Site-to-Site Vpn eingerichtet habe.
In Zukunft wird die Fritzbox durch eine Pfsense ersetzt.

Und ich meinte natürlich MBit.

Liebe Grüße
Mitglied: aqui
aqui 12.02.2020 aktualisiert um 15:06:12 Uhr
Goto Top
In Zukunft wird die Fritzbox durch eine Pfsense ersetzt.
Du könntest als FritzBox Alternative auf Client Seite auch einen Mikrotik Router nehmen. Der ist etwas preiswerter.